Il tuo PC infetto è ora un interruttore di spegnimento per il tuo telefono. Ecco cosa fare

Gli hacker nordcoreani sponsorizzati dallo Stato hanno appena dimostrato qualcosa che la maggior parte delle persone non realizza: se il tuo computer è infettato da malware, la sicurezza del tuo smartphone è già compromessa anche se il telefono in sé è completamente pulito.

Nel settembre 2025, il gruppo APT KONNI ha usato malware su PC Windows per cancellare da remoto i telefoni Android tramite Google Find Hub (funzione Trova il mio dispositivo). Ma ecco il dettaglio critico che cambia tutto: Google ha confermato che questo attacco non ha sfruttato alcuna vulnerabilità di sicurezza in Android o in Trova il mio dispositivo. La vulnerabilità era molto più semplice e più spaventosa: i computer desktop infetti.

Cosa è successo davvero: la catena d’attacco PC-to-Phone

La campagna KONNI ha funzionato attraverso una sequenza accuratamente orchestrata che rivela quanto i nostri dispositivi siano realmente interconnessi:

Fase 1: Social engineering tramite app di messaggistica

Gli aggressori si sono spacciati per counselor psicologici e attivisti per i diritti umani nordcoreani, distribuendo malware camuffato da programmi antistress tramite la popolare app di messaggistica coreana KakaoTalk. Le vittime credevano di scaricare un software di consulenza legittimo.

Fase 2: Infezione con RAT su PC Windows

Una volta eseguiti, gli installer MSI malevoli hanno distribuito Remote Access Trojan (RAT), nello specifico RemcosRAT, QuasarRAT e RftRAT. Non sono semplici virus; sono strumenti sofisticati che danno agli aggressori il controllo remoto completo dei computer infetti.

I RAT si camuffano da software legittimo e rimangono nascosti; non compaiono negli elenchi dei programmi o processi in esecuzione. Una volta installati, gli aggressori possono monitorare il comportamento dell’utente, accedere a informazioni riservate, attivare webcam, fare screenshot e accedere a tutto ciò a cui può accedere la vittima.

Fase 3: Furto di credenziali e sessioni

I RAT hanno raccolto le credenziali degli account Google con diversi metodi:

• Keylogging: registrazione delle password mentre le vittime le digitavano.
• Estrazione delle credenziali dal browser: furto delle password salvate in Chrome, Edge o altri browser.
• Furto dei cookie di sessione: copia dei cookie di autenticazione da sessioni del browser già connesse.

Quest’ultimo metodo è il più subdolo. Quando un hacker ruba i cookie di sessione, può aggirare completamente l’autenticazione a due fattori, perché il browser ha già completato la verifica. Il cookie rubato concede pieno accesso senza attivare nuovi prompt di sicurezza o notifiche 2FA.

Fase 4: Cancellazione da remoto tramite Google Find Hub

Usando le credenziali o i cookie di sessione rubati, gli aggressori hanno effettuato l’accesso agli account Google delle vittime e sono entrati in Trova il mio dispositivo. Da lì, hanno potuto avviare a piacimento il ripristino ai dati di fabbrica, cancellando ogni prova dell’intrusione.

⚠️ Secondo i ricercatori della società sudcoreana di cybersecurity Genians, in diversi casi i dispositivi delle vittime sono stati cancellati senza autorizzazione, eliminando messaggi, foto e altri dati che avrebbero potuto rivelare tracce dell’intrusione.

Il livello di sofisticazione è stato agghiacciante. Gli aggressori hanno usato la funzione di localizzazione GPS in Google Find Hub per identificare quando un bersaglio era all’aperto e meno propenso a reagire rapidamente. In un caso, l’aggressore ha eseguito il comando di wipe non una ma tre volte, assicurando il massimo disturbo e la completa perdita di dati.

Fase 5: Movimento laterale tramite KakaoTalk Desktop

Forse in modo ancor più subdolo, subito dopo le cancellazioni dei dispositivi, gli aggressori hanno sfruttato le app desktop KakaoTalk delle vittime, ancora con sessione attiva, per inviare file infetti ai contatti delle vittime, trasformando ogni account compromesso in un nodo di infezione secondario.

La vera vulnerabilità: i tuoi dispositivi sono un unico sistema

L’attacco KONNI mette in luce un fraintendimento fondamentale sulla sicurezza moderna: pensiamo ai nostri dispositivi come separati, ma per gli aggressori sono tutti punti d’accesso allo stesso ecosistema.

Molti utenti attenti alla sicurezza potrebbero pensare: “Ho attivato l’autenticazione a due fattori sul mio account Google. Un aggressore non può semplicemente accedere a Trova il mio dispositivo dal suo computer.”

E avresti ragione se l’aggressore stesse cercando di accedere dal proprio dispositivo. Ma non è questo ciò che è successo.

Quando il malware infetta il tuo PC su cui sei già connesso a Google, all’aggressore non servono la tua password o i codici 2FA. Ruba i tuoi cookie di sessione, piccoli file che dicono ai siti web “Questo utente si è già autenticato correttamente”. Con quei cookie, gli aggressori possono:

1. Accedere al tuo account Google come se fossero te.
2. Aprire Trova il mio dispositivo senza attivare nuovi prompt di accesso.
3. Eseguire comandi come il ripristino ai dati di fabbrica che sembrano provenire dalla tua sessione legittima e autenticata.
4. Aggirare tutte le protezioni 2FA perché usano la tua sessione già verificata.

L’hijacking di sessione consente agli aggressori di aggirare la verifica in due passaggi rubando i cookie di sessione dopo che hai già effettuato l’accesso. Una volta che l’hacker ottiene il cookie di sessione, può usarlo per entrare nel tuo account come se fossi tu, senza necessità di password o codice 2FA.

Inoltre, i servizi cloud moderni creano un ponte invisibile tra tutti i tuoi dispositivi. Quando il tuo PC è compromesso:

• Le password salvate nel tuo browser diventano le password dell’aggressore;
• Le tue sessioni autenticate diventano le sessioni autenticate dell’aggressore;
• I tuoi servizi cloud (Google, Apple, Microsoft, Dropbox) diventano il pannello di controllo dell’aggressore;
• Gli altri tuoi dispositivi (telefono, tablet, smart home) diventano i bersagli dell’aggressore.

⚠️ Potresti avere una sicurezza mobile impeccabile (blocchi biometrici, archiviazione crittografata, nessuna app sospetta) ma se il tuo desktop è infetto, niente di tutto ciò conta. All’aggressore non serve compromettere direttamente il tuo telefono. Gli basta compromettere i servizi cloud che controllano il tuo telefono.

Le domande di design su Trova il mio dispositivo

Sebbene la vulnerabilità principale fosse il malware sul PC, l’attacco evidenzia alcune limitazioni di design in Trova il mio dispositivo che ne hanno aumentato l’efficacia:

1. Esecuzione istantanea senza periodo di grazia

Quando viene impartito un comando di ripristino ai dati di fabbrica tramite Trova il mio dispositivo, l’azione avviene immediatamente. Non c’è alcun periodo di raffreddamento, nessuna opzione “Annulla entro 5 minuti”, nessuna verifica inviata a un dispositivo secondario.

Questo design a esecuzione immediata dà priorità al caso d’uso legittimo: qualcuno a cui hanno rubato il telefono deve cancellarlo rapidamente prima che il ladro possa accedere ai dati. Ma crea un punto di fallimento catastrofico quando è l’account stesso a essere compromesso.

ℹ️ Cosa potrebbe aiutare: Un ritardo configurabile (anche solo 5–10 minuti) con possibilità di annullare il comando da un altro dispositivo autenticato. Gli utenti che necessitano di cancellazioni istantanee potrebbero disattivare questo ritardo; gli utenti più attenti alla sicurezza potrebbero attivarlo.

2. Assenza di rilevamento delle anomalie

Il sistema non segnala schemi sospetti. Quando un aggressore:

• accede da una posizione insolita;
• controlla le coordinate GPS;
• esegue immediatamente un ripristino ai dati di fabbrica;
• ripete questa operazione tre volte di seguito…

…non c’è alcun sistema automatico che dica: “Questo comportamento è insolito; richiediamo una verifica aggiuntiva”.

ℹ️ Cosa potrebbe aiutare: Modelli di machine learning che rilevino schemi anomali e richiedano un’autenticazione rafforzata (ad esempio l’inserimento di un codice 2FA specifico per questa azione, anche se si è già connessi).

3. Registrazione forense limitata

Una volta che un dispositivo è stato cancellato, non esiste un registro nel cloud di ciò che è accaduto. Le vittime non hanno modo di:

• vedere quando il telefono è stato cancellato;
• identificare da quale posizione è partito il comando di wipe;
• rivedere quali altre azioni di Trova il mio dispositivo sono state eseguite;
• ricostruire la timeline dell’attacco.

ℹ️ Cosa potrebbe aiutare: Log anti-manomissione archiviati separatamente dal dispositivo che registrino tutte le azioni di Trova il mio dispositivo, accessibili anche dopo un ripristino ai dati di fabbrica.

4. Avvisi di posizione che rivelano la tua sorveglianza

Quando localizzi un dispositivo tramite Google Find Hub, sul dispositivo di destinazione compare una notifica con scritto “Condivisione della posizione del dispositivo”, che avvisa gli aggressori che li stai tracciando.

Sebbene questo abbia senso per la privacy in scenari legittimi (dovresti sapere se qualcuno sta tracciando la tua posizione), segnala anche agli aggressori più sofisticati che sei consapevole della compromissione, potenzialmente accelerando la loro tempistica per cancellare il dispositivo.

Cosa puoi fare: difesa in profondità

L’attacco KONNI rende chiaro che la sicurezza mobile inizia dalla sicurezza del PC. Ecco cosa devi fare:

1. Tratta gli allegati email come ostili fino a prova contraria.

   La campagna KONNI si è basata sul fatto che le vittime installassero volontariamente file MSI e archivi ZIP ricevuti tramite KakaoTalk, camuffati da software di consulenza legittimo.

   Non aprire mai allegati, anche da contatti noti, a meno che:

   • non stessi aspettando quel file;
   • non abbia verificato tramite un canale di comunicazione separato (telefonata, non messaggio) che te l’abbiano davvero inviato;
   • non l’abbia sottoposto a scansione con un antivirus aggiornato;
   • non capisca esattamente cosa fa il file.

   Presta particolare attenzione a:

   • .msi (installer Windows);
   • .exe (eseguibili);
   • .zip, .rar, .7z (archivi compressi che possono contenere eseguibili);
   • .scr (salvaschermi, spesso malware);
   • documenti Office con macro abilitate.

2. Usa software EDR (Endpoint Detection and Response).

   Gli antivirus per consumatori non sono più sufficienti contro malware sofisticati. Valuta soluzioni di livello enterprise, come Windows Defender for Business (incluso con Microsoft 365 Business Premium) o Bitdefender GravityZone.

   I RAT sono progettati per eludere il rilevamento e possono aggirare contromisure comuni come firewall, sistemi di rilevamento delle intrusioni e controlli di autenticazione. Perciò ti serve un rilevamento comportamentale che identifichi schemi di attività sospetti, non solo la scansione basata su firme.

3. Isola le attività sensibili su dispositivi separati.

   Se lavori con informazioni sensibili o è probabile che tu sia un bersaglio, valuta di:

   • usare un dispositivo “pulito” dedicato per transazioni finanziarie e gestione di account critici;
   • non installare mai software di terze parti su quel dispositivo;
   • usare account Google diversi su dispositivi diversi;
   • tenere separato l’account che controlla Trova il mio dispositivo dal tuo account email quotidiano.

4. Monitora regolarmente le sessioni attive.

   Rendilo un’abitudine settimanale:

   1. Vai su myaccount.google.com > Sicurezza > I tuoi dispositivi;

   2. Rivedi tutti i dispositivi connessi;

   3. Disconnetti tutto ciò che non riconosci;

   4. Controlla le posizioni e i timestamp: corrispondono al tuo utilizzo reale?

   

5. Abilita l’autenticazione a due fattori basata su hardware.

   Sebbene il furto di cookie di sessione possa ancora aggirare persino la 2FA hardware se il malware è in esecuzione su un dispositivo già autenticato, le chiavi hardware rendono l’attacco significativamente più difficile perché richiedono la presenza fisica per l’autenticazione iniziale.

   Tuttavia, non tutte le 2FA sono uguali:

   ❌ 2FA via SMS: può essere intercettata da malware con accesso alle notifiche

   ❌ App di autenticazione: meglio, ma comunque vulnerabili all’hijacking di sessione

   ✅ Chiavi di sicurezza hardware: token fisici che usano verifica crittografica

   ✅ Passkey: autenticazione di nuova generazione legata a dispositivi specifici

   Come abilitarla: vai su myaccount.google.com > Sicurezza > Verifica in due passaggi > scegli “Chiave di sicurezza”.

   

6. Mantieni backup offline.

   Poiché le cancellazioni da remoto possono avvenire senza la tua conoscenza o il tuo consenso (se il tuo account è compromesso), mantieni backup offline crittografati:

   • Foto/Video: usa un hard disk esterno con backup regolari, non solo l’archiviazione cloud;
   • Contatti: esportali regolarmente in un file VCF;
   • Documenti importanti: conserva copie crittografate su una chiavetta USB riposta in un luogo sicuro;
   • Codici di backup 2FA: stampali e conservali in un posto sicuro.

La scomoda verità

L’attacco KONNI è riuscito non per via di sofisticati exploit zero-day, ma a causa di semplici verità che non amiamo affrontare:

• Gli utenti apriranno allegati da fonti fidate (anche quando tali fonti sono compromesse).
• La sicurezza del PC è considerata meno critica di quella mobile (nonostante i PC abbiano accesso a tutto ciò a cui accedono i dispositivi mobili).
• I cookie di sessione sono trattati come meno sensibili delle password (ma forniscono lo stesso livello di accesso).
• I servizi cloud si fidano delle sessioni autenticate (senza verifica continua di comportamenti insoliti).
• Progettiamo prima per la comodità, poi per la sicurezza (ripristini di fabbrica istantanei senza periodo di grazia).

Le vittime in Corea del Sud non sono state negligenti. Sono state avvicinate da persone che si spacciavano per figure fidate della loro comunità, offrendo servizi che sembravano legittimi. Hanno adottato livelli normali di cautela, e non è bastato.

Conclusione: la sicurezza è un sistema, non un dispositivo

La lezione di KONNI non riguarda l’insicurezza di Trova il mio dispositivo. Riguarda l’illusione di una sicurezza a livello di singolo dispositivo in un mondo connesso al cloud.

La sicurezza del tuo telefono è solida solo quanto:

la sicurezza del tuo PC (il malware può rubare i cookie di sessione)

l’autenticazione del tuo account (il tipo di 2FA conta enormemente)

il rilevamento delle anomalie del tuo provider cloud (molti non ne hanno)

la tua strategia di backup (le cancellazioni da remoto possono avvenire senza il tuo consenso)

la tua consapevolezza delle catene d’attacco (il social engineering è il punto d’ingresso)

Non possiamo più pensare di mettere in sicurezza i singoli dispositivi. Dobbiamo pensare a mettere in sicurezza l’intero ecosistema di dispositivi, account, sessioni e servizi cloud che costituiscono le nostre vite digitali.

Il gruppo KONNI ha dimostrato che, con pazienza, social engineering e comprensione del funzionamento dei servizi cloud, attori statali possono rivolgere contro di te i tuoi stessi strumenti di sicurezza.

La sicurezza del tuo telefono inizia dalla sicurezza del tuo PC. Nell’era del computing connesso al cloud non esistono dispositivi isolati. Solo vulnerabilità interconnesse.